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©DISPOSrriF DE CONTROLE DU FONCTIONNEMENT D'UN SYSTEME ELECTRONIQUE EMBARQUE A BORD 
^ D'UN VEHICULE AUTOMOBILE. 

Kt) Ce dispositif comportant une unite de trartement d'ln- 
foTfnations § base de micro-contrdleur (2) associ6 & des 
moyens de memorisation (3) comportant des zones de 
stockage de codes correspondant k diff^rents programmes 
executables par le micro-controleur et, pour chaque pro- 
gramme executable, au moins une zone de stockage de 
donnees accessible en ecriture et/ou en lecture par le 
micro-contr6teur, est caract^ris^ en ce qu'il comporte des 
moyens (6) de controle en dynamique des acces par le 
micro-contrdleur (2) aux zones de stockage pour engen- 
drer un signal d'en^eur en direction de moyens de traite- 
ment d'en-eurs (8) en cas de tentative d'accfes ou d'acc6s 
du micro-controleur a des zones non-autorisees. 
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La presents invention concerne un disposltlf de 
controle du fonctionnement d'un systeme 61ectronique 
embarque a bord d'un vehicule automobile. 

Plus particuliferement, la pr6sente invention 
concerne un dispositif du type comportant une unit6 de 
traitement d ' informations a base de micro-contrSleur 
associe ^ des moyens de memorisation comportant des zones 
de stockage de codes correspondant d differents programmes 
executables par le micro-controleur et, pour chaque pro- 
gramme executable, au moins une zone autoris6e de stockage 
de donn6es accessible en ecriture et/ou en lecture par le 
micro-controleur . 

Ce type de systemes electroniques a 6t6 d^ve- 
loppe dans I'etat de la technique pour permettre 1' utili- 
sation d'un nombre limits d' unites de traitement d' infor- 
mations remplissant differentes fonctions de contr61e de 
diffSrents organes fonctionnels du v6hicule, tels que par 
exemple les moyens de suspension de celui-ci, les moyens 
de controle du fonctionnement du moteur de celui-ci, 
etc, • . 

Cependant, le. developpement important de ces 
systemes embarqu6s fait considerablement croitre la taille 
du logiciel correspondant, qui devient ainsi un consti- 
tuant critique dans ces systemes. De plus, dans de nom- 
breuses applications, ayant des niveaux de criticltS 
diffSrents, plusieurs fonctions sont amen6es a cohablter 
sur un meme support physique, c'est-a-dire sur une m&ne 
unite de traitement d ' informations. 

Or, les unites de ce type peuvent etre pertur- 
bees par 1 'environnement du v6hicule, c'est-&-dire par 
exemple par des champs electriques ou des champs 61ectro- 
magnetiques, la temperature, I'humidite de I'air, ou 
encore des secousses li6es a des inSgalites de la route, 
etc. ... 
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Differentes securites doivent alors etre envisa- 
gees et ce d'autant plus que certaines fonctions, conune 
par exemple celle liee au freinage^ sont plus critiques 
que d'autres, conune par exemple celle liee A I'^clairage 
5 int:6rieur du v6hicule. 

Ces s6curit:6s doivent mettre en oeuvre des 
techniques de s6curisation du f onctionnement du syst&me. 

Cependant, toutes les techniques connues de 
tolerances aux fautes logicielles par diversification et 

10 de segmentation memoire par controleur MMU (Memory Manage- 
ment Unit) ne sont pas utilisables. En effet, ces techni- 
ques, efficaces lorsque 1 ' application est repartie sur des 
supports physiques differents, ce qui est le cas par 
exemple des systSmes embarqu6s de I'avionique, ne sont pas 

15 adaptees a la problematique des vehicules automobiles car 
la contrainte de cout est beaucoup plus forte. 

Du fait de cette forte contrainte de cout, les 
systemes embarques a bord des vehicules automobiles 
doivent etre du type monoprocesseur . Une solution envisa- 

20 geable est alors le VCP (vital coded processor) utilisfe 
dans le domaine ferroviaire. Cependant, cette approche 
bas6e sur un concept de redondance purement informatlon- 
nelle n'est pas adaptee aux applications automobiles. En 
effet, 1 ' introduction d'un code arithmetique pour chaque 

25 donn6e memoire est beaucoup trop contraignante au- 
Jourd'hui, en terme de place mfemoire et par consequent en 
terme de cout. 

Cette technique d ' analyse de signature utilis6e 
par le VCP detecte les erreurs de sequencements et les 

30 erreurs de memorisation. L ' utilisation de cette technique 
impose alors un programme deterministe fonctionnant par 
cycle au cours duquel la signature globale, calcul6e en 
ligne, est comparee a une signature de ref6rence. Cette 
technique d' analyse de signature est efficace lorsque le 

35 ' programme comporte peu de boucles. En effet, dans le cas 
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ou il existe des boucles, des sauts, ou encore des inter- 
ruptions etc., il est n^cessaire de rajouter des signa- 
tures d'ajustement, indispensables pour obtenir une 
invar iance sur la signature globale. 
5 Or, beaucoup d ' applications automobiles, comme 

les syst&nes de multiplexage par exemple, utilisent de 
nombreuses manipulations de donnfees de type bits, ce qui 
entraxne une utilisation considerable d • instructions de 
type "test et branchement " . L' utilisation de la technique 
10 d' analyse de signature dans ces conditions necessite alors 
d'incorporer un tres grand nombre de signatures d'ajuste- 
ment qui consomment une place m^moire importante. 

De plus, 1 'utilisation de ces techniques neces- 
site 1 'utilisation d'outils sp6cifiques et en particulier 
15 d'un logiciel pour le calcul des signatures de reference. 

routes les contraintes specif iques au secteur 
automobile rendent des lors ce type de mfecanismes tr6s 
difficile a implanter et a gerer pour des systSmes tels 
que le contr61e du f onctionnement d'un moteur, le contr61e 
du f onctionnement d ' une boite de Vitesse automatique ou 
encore le contrCle du fonctionnement d'un calculateur de 

multiplexage carrosserie, etc 

La cohabitation dans une m&m& unit6 de traite- 
ment d ' informations de fonctions avec des niveaux de 
25 criticite diff6rents rend d ' autant plus difficile la 
..^ maltrise de la surete de fonctionnement de ces systSmes 
embarquSs. 

De ce fait, il est n^cessaire de dSvelopper un 
dispositif de contr61e specifique pour le test en ligne 
qui permet de r6soudre les diff6rents probl^mes evoqu^s 
pr^cedemment . 

A cet effet, 1' invention a pour objet un dispo- 
sitif de controle du fonctionnement d'un systeme 61ectro- 
nique embarquS a bord d'un vehicule automobile, du type 
35 comportant une unite de traitement d ' informations & base 
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de micro-controleur associe a des moyens de memorisation 
comportant des zones de stockage de codes correspondent d 
differents programmes executables par le micro-controleur 
et pour chaque programme executable, au moins une zone de 
5 stockage de donn6es accessible en ecriture et/ou en 
lecture par le micro-controleur, caracteris6 en ce qu'il 
comporte des moyens de controle en dynamique des acc6s par 
le micro-controleur aux zones de stockage pour engendrer 
un signal d*erreur en direction de moyens de traitement 
10 d'erreurs, en cas de tentative d ' acces ou d'acces du 
micro-controleur a des zones non-autoris6es . 

Les moyens de controle peuvent en outre fetre 
agences pour valider ou non I'acces a une zone de stocka- 
ge* 

15 Avantageusement , les moyens de contr51e compor- 

tent des moyens de comparaison d ' informations d*acc&s d 
des informations de reference pr6d6terminees associees aux 
zones de stockage. 

L' invention sera mieux comprise A l*alde de la 

20 description qui va suivre donnSe uniquement & titre 
d'exemple et faite en se r6ferant aux dessins annexes sur 
lesquels : 

- la Fig. 1 represente un schema synoptique 
illustrant la structure g6n6rale d'une unit6 de traitement 

25 d • informations ; 

- la Fig. 2 il lustre de fagon g^n^rale un sch&na 
synoptique montrant 1 ' implantation d ' un dispositif de 
contr61e selon 1* invention; 

- la Fig. 3 il lustre les diff6rents acc6s dans 
30 un tel dispositif; 

- la Fig. 4 represente un sch6ma synoptique 
illustrant le f onctionnement d'un tel dispositif; 

- la Fig. 5 represente un tableau illustrant un 
exemple de r6alisation d'un descripteur utilis6 dans un 

35 dispositif de controle selon 1* invention; et 
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- la Fig. 6 represente un schema synoptique 
illustrant les differents elements entrant dans la consti- 
tution d'un dispositif de contrdle selon 1' invention. 

Ainsi qu'on peut le voir sur les Figs. 1, 2 et 
3, un dispositif de controle selon 1 ' invention permet de 
controler le f onctionnement d'un systeme 61ectronique 
embarqufe S bord d'un vehicule automobile, qui comporte une 
unite de traitement d ' informations d6sign6e par la r6f6- 
rence g4n6rale 1 a base de micro -controleur d6sign6 par la 
r6f6rence g6n6rale 2 associe a des moyens de memorisation 
design^s par la reference g6nerale 3. Ces moyens de 
memorisation comportent des zones de stockage de codes 
correspondant S differents programmes execu tables par le 
micro-controleur et pour chaque programme executable, au 
moins une zone de stockage de donnees, accessible en 
6criture et/ou en lecture par le micro-controleur. 

Les zones de stockage de codes correspondant aux 
differents programmes execu tables par le micro-controleur 
sont dSsignSs par la reference g^ndrale 4 sur la Fig. 3, 
tandis que les zones de stockage des donnfees accessibles 
en ecriture et/ou en lecture par ce micro-contr61eur sont 
designees par la r6f6rence g6n6rale 5 sur cette figure. 

C'est ainsi qu'une zone de programme A a accSs 
^ deux zones de stockage de donnees Al et A2, tandis 
qu'une zone de programme B a acc^s a deux zones de stoc- 
kage de donnees Bl et B2. 

Selon 1 ' invention, le dispositif de contr61e 
comporte des moyens de contr61e en dynamique des accSs par 
le micro-controleur aux zones de stockage de codes et de 
donnees, pour engendrer un signal d'erreur en direction de 
moyens de traitement d'erreurs, en cas de tentative 
d'acces ou d'acces du micro-controleur S des zones non- 
autorisees. 
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Dans I'exemple decrit ici, les moyens de con- 
trole sont en outre agences pour valider ou non les accds 
aux zones de donnees. 

Sur la figure 2, ces moyens de controle sont 
5 appeles CAM ( Controleur d * Acces M6moire ) et dSslgnSs par 
la r6f6rence g6n6rale 6 et comprennent par exemple une 
zone de descripteur designee par la reference g^nerale 7 
sur la Fig. 3, qui sera decrite plus en detail par la 
suite, tandis que les moyens de traitement d'erreurs sont 

10 designes par la reference generale 8 sur la Fig. 2. 

Ce dispositif permet alors par comparalson 
d ' informations d' acces a des informations de reference 
(descripteur) d* assurer une protection memoire entre les 
diff6rentes zones de codes correspondant a des logiciels 

15 qui ont des niveaux de criticite diff6rents. 

En effet, les principaux risques inh6rents k la 
cohabitation de plusieurs logiciels sur un meme support 
concernent 1* alteration illicite d ' informations utills^es 
par un logiciel critique ou 1* activation illicite d'une 

20 partie de son code a partir d'un logiciel non critique. Le 
principe de prevention mis en oeuvre par le prfesent 
dispositif repose sur 1 * utilisation de cles d'acc6s & des 
zones m6moire, Ainsi, S chaque zone de code programme 
definie, deux zones memoire sp6cifiques sont accessibles 

25 en lecture et/ou en ecriture. Ceci permet ainsi de confi- 
ner des zones d' acces en fonction de la criticit6 d'un 
logiciel. La verification des droits d'accfes est alors 
effectu6e en dynamique par le dispositif selon 1 ' invention 
qui engendre une alarme d6s que le logiciel ex6cut6 n'est 

30 pas ou n'est plus dans la zone prfed6finie ou qu'une 
tentative d' acces a une zone m6moire interdite est d6tec- 
t6e. 

Ce dispositif est avant tout un dispositif de 
surveillance et 1 ' utilisation de ce dispositif n'est pas 



2740235 



7 

permanente mais s'effectue a la demande de mani^re d 
controler 1* execution de certaines zones de code. 

Ce dispositif permet alors de completer effica- 
cement les m6canismes deja connus dans I'fetat de la 
technique, tels que les auto- tests ; etc.*. 

Afin d'optimiser les ressources matSrlelles du 
systeme, une seule cle, c'est a dire un descripteur 
unique, peut etre utilisee a la fois. L' ensemble des 
descripteurs n6cessaires a 1 ' utilisation et a la protec- 
tion des zones memoire est implante de fagon logicielle 
dans le dispositif. Chaque structure de donn6es est 
prot6g6e par I'adjonction d'un code de compaction qui 
represente sa signature propre. La structure de donn6es 
est transf6r6e vers 1' unite de traitement lors d*une 
demande d ' utilisation du dispositif. Les zones de protec- 
tion peuvent ainsi etre allouees dynamiquement en fonction 
des besoins des ressources memoire. 

Sur la base du principe represente sur la Fig. 
3, la Fig. 4 represente une premiere structure fonction- 
nelle genferale du dispositif de controle selon 1 • inven- 
tion. 

Trois blocs fonctionnels principaux peuvent Stre 
discernfes. Le premier bloc est un bloc de gestion d^sign^ 
par la r6f6rence g6n6rale 9 qui est activ6 lors de la 
reception d'un acces. 

Lorsqu*il s'agit d'un acces au dispositif de 
controle, ce bloc de gestion 9 transfere la donn6e regue 
vers un bloc d' analyse et de calcul de signature d6sign6 
par la r6f6rence g6n6rale 10. 

Ce dernier met en forme le descripteur regu et 
calcule en ligne la signature attendue. Si la signature 
n'est pas correcte, alors une erreur est engendrSe. 
Lorsque 1* acces concerne une zone programme, chaque 
adresse d ' instruction est posit ionnee dans adr-Prg. De la 
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meme fa^on, cheque demande d'acces a une zone de variables 
est positionnfee. dans adr-var. 

Le bloc de gestion 9 engendre le signal ACTIVE 
qui verifie en direct la demande d'acces. Si la demande 
5 d'acces a une zone de donnees est correcte, un bloc VALIDE 
11 autorise I'acces, sinon l'acc6s est bloqufe et/ou une 
erreur est engendr6e en direction des moyens de traitement 
d'erreurs. Si la demande d'acces pour l'ex6cution d'line 
zone programme est incorrecte, alors une erreur est 

10 engendr^e en direction des moyens de traitement d'erreurs. 

On congoit alors que les trois entit6s concer- 
n&es par le dispositif de controle sont le micro-contr6- 
leur 2, les moyens de memorisation 3 et les moyens de 
traitement d'erreurs 8. 

15 La variable caracteristique du micro-contr61eur 

est 1 ' information ACCES. Celle-ci est emise par le micro- 
controleur lorsqu'il d6sire acc6der ^ I'un de ses p6riph6- 
riques . 

La variable caractferistique des moyens de 
20 memorisation est le signal correspondent a la validation 
de 1 ' acc^s m^moire • 

Enfin, la variable qui caracterise les moyens de 
traitement d'erreurs est la variable ERREUR engendr^e par 
le dispositif pour indiquer un acces non autoris6 aux 
25 moyens de memorisation (interruption et lev^e d'un drapeau 
(flag) ). 

Le micro-controleur est couple au dispositif de 
contr61e des acces m^moire par 1 ' intermfediaire de la 
variable ACCES, Cette information comporte plusleurs 
30 champs qui seront d^finis plus en detail par la suite. 
Physiquement, ces champs sont transmis par les bus de 
donnees, d'adresse et de controle du micro-controleur. 

Le comportement des moyens de memorisation est 
purement pass if et ceux-ci regoivent ou emettent des 
35 donnees & la demande du micro-contr61eur . 
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Ceci est 6galeinent le cas des moyens de tralte- 
ment des erreurs dont le role est de reagir au signal 
d'erreur. En pratique, les moyens de traitement d' erreurs 
doivent etre vus comnie un mecanisme de gestion des inter- 
ruptions du micro-controleur, A 1' occurrence d'une erreur 
une interruption est engendree, ce qui provoque ie dferou- 
tement du f onctionnement de ce micro-contr61eur vers un 
programme specif ique de fa^on classique. 

On congoit alors que le r61e du dispositif de 
controle est de filtrer les accds du micro-controleur aux 
moyens de memorisation. Ce dispositif a tout pouvoir pour 
censurer un acces memoire lorsqu'il est interdit. La 
validation de 1' acces s'effectue par comparaison des 
droits d' acces S une reference appelee precfedemment 
descripteur . 

Le mode de chargement de cette r6f6rence importe 
peu pour la comprehension du f onctionnement du dispositif, 
mais dans ce cas on pourra noter qu'il s'effectue par 
ecriture successive dans un espace memoire du dispositif, 
reserv6 au stockage des informations de descripteur. 

En fait, les moyens de controle comportent des 
moyens de comparaison d ' informations d'acc^s & des infor- 
mations de r6f6rence predeterminfees assocides aux zones de 
stockage . 

Ces informations de refference sont stock^es de 
pr6f6rence dans des moyens de memorisation des moyens de 
controle et les informations d' acces et les informations 
de r6f6rence peuvent etre des adresses d' acces aux zones 
de stockage. 

Trois types de comparaison peuvent alors 6tre 
mis en oeuvre et evalu&s. 

Le premier type de test concerne la validation 
de la sortie, c'est-a-dire de 1* acces, si la valeur d' en- 
tree est comprise dans un intervalle autoris6, c*est-d- 
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dire entre une reference minimum ( adresse basse) et une 
reference maximum (adresse haute). 

Le format du descripteur pour une adresse 
(programme ou variable) est alors de deux mots par exemple 
5 de 16 bits comportant une adresse haute et une adresse 
basse. 

Le second type de test concerne la validation de 
la sortie si la valeur d' entree est comprise entre une 
reference minimum (adresse basse) et cette reference 
10 minimum additionnee d'un decalage variable (adresse basse 
plus d6calage ) . 

Le format du descripteur pour une adresse est 
alors d'un mot de 16 bits par exemple (adresse basse) et 
un mot de 8 bits ( decalage ) . 
15 Le troisieme type de test concerne la validation 

de la sortie si la valeur d' entree est comprise entre une 
refference minimum et cette reference minimum additionn6e 
d*un decalage fixe. 

Le format du descripteur pour une adresse est 
20 alors d'un mot de 16 bits (adresse basse) tandis que le 
fonnat du decalage est fixe une fois pour toute. 

Deux criteres guident le choix de I'un de ces 
trois types de test, ces criteres 6tant 1 ' encombrement et 
la rapidity. 

25 Plus 1 • encombrement est faible, plus grande est: 

la probabilit6 d'int^grer toutes les fonctions dans un 
m&me composant. Plus un algorithme est rapide, meilleures 
sont les chances d'obtenir un r6sultat probant dans une 
application ou le facteur temps est crucial. II est: & 

30 noter qu'une methode favorise souvent I'un au detriment de 
1' autre. 

En plus des informations de definition des zones 
d' adresse, le descripteur comporte 6galement des informa- 
tions pour la definition des droits d'acc6s aux zones de 
35 variables, celles-ci pouvant etre les quatre bits de poids 
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faibles pour les droits d'acces de la zone de variables 1 
et les quatre bits de poids forts pour les droits d'acces 
de la zone de variables 2 et une information de sonune de 
controle "Checksum" pour la verification de la validit6 du 
descripteur apres son chargement. 

Au vu de ceci , les deux derniers types de test 
d6crits pr&c^demment presentent 1 ' inconvenient de necessi- 
ter une addition. Or, cette op6ration est trSs consomma- 
trice en temps et en cellules. Le premier type de test 
etablit un bon compromis entre les deux criteres, le 
pourcentage d' occupation du circuit est plus faible et le 
temps de reaction est tout a fait correct. II ne faut 
toutefois pas oublier son inconvenient principal qui 
concerne le fait que le descripteur presente globalement 
un encombrement plus important. Par consequent^ si il est 
modifie tres souvent, le temps du micro-contrdleur consa- 
cre a I'ecriture des champs augmentera consid^rablement . 

Le format retenu pour le descripteur est alors 
par exemple celui donne dans le tableau de la Fig. 5. 

Une zone programme (Prog) ou variable (Var 1 ou 
Var 2) est d&limit&e par son adresse basse et son adresse 
haute. Celles-ci comportant deux octets par exemple, les 
poids forts (PFO) et les poids faibles (PFA) doivent etre 
d^finis success ivement pour chacune d'elles. 

Les informations Var l-type-autoris6 et Var 2- 
type-autorise definissent respectivement les types d'accds 
autoris6s aux zones correspondantes, c'est a dire lecture, 
ecriture ou lecture/ecriture pour les zones de variables 
1 et 2. 

Sur la Fig. 6, on a represente de fagon plus 
precise 1 ' organisation d ' un dispositif de contr61e selon 
1 ' invention. 

Ce dispositif se decompose en cinq blocs fonda- 
mentaux, a savoir un bloc de controle et de gestion de 
descripteur d^signe par la r6f6rence g^n^rale 12, qui 
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comporte un algorithme de gestion du chargement de la 
variable descripteur et qui genere les signaux de commande 
necessaires S la memorisation des zones d'adresse des 
droits d*acc6s dans les blocs Comp-Prog, Comp-Var 1 et 
5 Comp-Var 2, designes par les references 13, 14 et 15 • 

Le bloc Comp-Prog 13 comprend les regis tres de 
stockage des adresses de definition de la zone programme 
du descripteur. Lors de 1* execution d'une instruction 
(cycle code op6ratoire ou Opcode), il genere un signal qui 

10 indique si I'adresse pr6sente sur le bus d'adresse est ou 
non comprise dans la zone programme autorisee. 

Les blocs Comp-Var 1 et Comp-Var 2 sont identi- 
ques et comprennent respectivement les registres de 
stockage des adresses de definition des zones de variables 

15 1 et 2. lis fournissent egalement les signaux qui indi- 
quent si I'adresse d'acces aux moyens de memorisation 
presente sur le bus d'adresse se situe dans les zones de 
variables autorisees et si les droits d'acces sont respec- 
tes* Pour ajouter une zone de variable suppl6mentaire au 

20 descripteur il suffit de creer un autre bloc Comp-Var N 
portant la r6f6rence 16. Les blocs pr6sent6s precedemment 
ne sont pas modifies. 

Le bloc de sorties 17 met en forme les signaux 
issus des blocs de comparaison pour fournir les signaux 

25 VALIDE ACCES ou ERREUR, exploi tables par les moyens de 
memorisation et le micro-controleur • 

Le fonctionnement de ce dispositif est cdntr616 
par le micro-controleur par 1 * intermediaire d'un bloc de 
supervision 18 qui a pour role d' assurer 1 ' activation ou 

30 la desactivation de ce dispositif en fonction des requStes 
du micro-contrdleur , 

On congoit alors que dans le dispositif selon 
1 • invention les moyens de controle sont adaptes pour 
comparer des informations d'acces, telle qu'une adresse, 

35 a des informations de reference pour determiner si ces 
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informations d'acces correspondent a des zones memoire 
accessibles. 

Ceci permet d' assurer une protection des zones 
memoire centre des acc6s non autoris6s et d'amfellorer la 
fiabilit§ de f onctionnement du syst^me. 

Le dispositif objet de 1' invention pr6sente des 
avantages particulierement int6ressants dont le principal 
est de ne n^cessiter qu'une faible surface de silicium, ce 
qui d'une part, reduit le cout de 1 ' installation et, 
d' autre part, facilite son integration dans un micro- 
controleur, ce qui le rend particulierement bien adapt6 
pour des applications automobiles. 

Enfin, on notera que les moyens de contr61e 
peuvent etre disposes d ' un maniere quelconque, par exemple 
integres au micro-controleur ou dans la memoire ou encore 
comme un p6riph6rique externa . 
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RKVENPICATIQNS 

1. Dispositlf de contrSle du fonctionnement d'un 
systeme 61ect;ronique embarque a bord d • un v^hlcule autromo- 
bile, du type comportant une unite (1) de traltement 
d • informations & base de micro-controleur (2) associ6 d 
des moyens de memorisation (3) comportant des zones (4) de 
stockage de codes correspondant S differents programmes 
ex^cu-tables par le micro-controleur et:, pour chaque pro- 
gramme executable, au moins une zone (5) de stockage de 
donnees accessible en 6criture et/ou en lecture par le 
micro-controleur, caracterise en ce qu'il comporte des 
moyens ( 6 ) de controle en dynamique des acc6s par le 
micro-controleur (2) aux zones de stockage, pour engendrer 
un signal d'erreur en direction de moyens de traitement 
d'erreurs (8) en cas de tentative d ' acces ou d*acces du 
micro-contr61eur a des zones non-autorisees . 

2. Dispositif selon la revendication 1, caract6- 
ris6 en ce que les moyens de contrdle ( 6 ) sont en outre 
agenc^s pour valider ou non I'acces S une zone de stocka- 
ge. 

3. Dispositif selon la revendication 1 ou 2, 
caract6ris6 en ce que les moyens de controle comprennent 
des moyens (9, 10, 11, 12, 13, 14, 15, 16) de comparalson 
d • informations d'acces a des informations de r6f6rence (7) 
pr6d6termin6es associees aux zones de stockage . 

4. Dispositif selon la revendication 3, caract6- 
ris6 en ce que les informations de reference sont stock^es 
dans des moyens de memorisation (13, 14, 15,16) des moyens 
de controle. 

5. Dispositif selon la revendication 3 ou 4, 
caracterise en ce que les informations d'acces et les 
informations de reference sont des adresses d'acces aux 
zones de stockage. 

6. Dispositif selon la revendication 5, caracte- 
rise en ce que les moyens de comparaison sont adaptes pour 
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determiner si 1 ' adresse d'acces est comprise dans un 
intervalle autoris6. 

7. Dispositif selon la revendication 6, caract6- 
ris6 en ce que ledit intervalle autorise est d6terroin6 d 
partir des informations de reference qui comprennent une 
adresse basse et une adresse haute. 

8. Dispositif selon la revendication 6, caract6- 
ris6 en ce que les informations de reference comprennent 
une adresse basse et une valeur de decalage d' adresse et 
en ce que les moyens de comparaison sont adapt6s pour 
determiner si 1' adresse d'acc6s est comprise entre I'a- 
dresse basse et 1' adresse basse plus la valeur de decala- 
ge. 

9. Dispositif selon la revendication 8, caractfe- 
15 rise en ce que la valeur de decalage est fixe, 

10. Dispositif selon la revendication 8, carac- 
terise en ce que la valeur de decalage est variable. 

11. Dispositif selon 1' une quelconque des reven- 
dications 3 d 10, caracteris6 en ce que les informations 
de reference comprennent des informations de definition 
des autorisations d'acces a I'une ou 1' autre des zones (5) 
de stockage de donn6es accessibles par le micro-controleur 
(2). 

12. Dispositif selon I'une quelconque des reven- 
25 dications pr6cedentes, caracterise en ce que son fonction- 

nement est controie par le micro-contrdleur (2) par 
1 • intermedlaire d'un bloc de supervision (18) qui a pour 
r61e d' assurer 1' activation ou la desactivation de ce 
dispositif en fonction des requetes du micro-contr61eur . 

^3- Dispositif selon I'une quelconque des 
revendications precedentes, caracterise en ce que les 
moyens de controie ( 6 ) sont integres dans le micro-contrd- 
leur (2). 

14. Dispositif selon I'une quelconque des 
35 revendications 1 a 12, caracterise en ce que les moyens de 
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controle (6) sont integres dans les moyens de memorisation 
(3). 

15, Dispositif selon 1 ' une guelcongue des 
revendications 1 a 12, caracterise en ce que les moyens de 
controle (6) sont disposes comme un peripherique externe. 
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